BCM: een last of juist zekerheid voor de CISO?


Informatiebeveiliging. Ofwel ‘het geheel van preventieve, detectieve, repressieve en correctieve maatregelen alsmede procedures en processen die de beschikbaarheid, exclusiviteit en integriteit van alle vormen van informatie binnen een organisatie of een maatschappij garanderen. Dit met als doel om de continuïteit van de informatie en de informatievoorziening te waarborgen en de eventuele gevolgen van beveiligingsincidenten tot een acceptabel, 

vooraf bepaald niveau te beperken’.

Het verleden biedt geen garantie voor de toekomst

Deze beschikbaarheid en continuïteit van kritische bedrijfsprocessen kan natuurlijk in gevaar komen. Door bijvoorbeeld een incident zoals brand, wateroverlast of een (stroom)storing. Met alle gevolgen van dien voor een burger, de bedrijfsvoering van een organisatie en de reputatie van de gemeente. Maar hoe kun je als gemeente de beschikbaarheid en continuïteit van je kritische bedrijfsprocessen (blijven) garanderen indien deze in gevaar komen?

Voorkomen is beter dan genezen

Om stagnatie van deze kritische bedrijfsprocessen binnen gemeenten te voorkomen is het slim om potentiële bedreigingen vroegtijdig in kaart te brengen. Daarnaast is het belangrijk dat er een inschatting wordt gemaakt van het effect van elke bedreiging op de kritische bedrijfsprocessen. Want, door adequaat op de bedreiging te reageren, kan de impact ervan worden geminimaliseerd. Dit proces noemen we ook wel ‘Business Continuïty Management (BCM)’ of in het Nederlands, Bedrijfscontinuïteitsbeheer. Onderdeel van dit Bedrijfscontinuiteitsbeheer vormt het uitvoeren van een Bedrijfsimpactanalyse (BIA). Door middel van zo’n BIA worden de kritieke processen van de niet-kritieke processen binnen de gemeentelijke organisatie onderscheiden. Maar hoe bepaal je of een bedrijfsproces kritiek is voor je gemeentelijke organisatie? Ik geef je graag een aantal criteria waarmee je de toets kunt doen. Een proces is kritiek indien:

  • het om wetgeving gaat (bijvoorbeeld processen binnen Openbare orde en veiligheid)
  • het de burger raakt (bijvoorbeeld processen binnen Sociale Zaken)
  • het andere processen binnen je gemeente raakt (bijvoorbeeld processen binnen Financieel beheer)
  • het de beschikbaarheid van je gemeentelijke dienstverlening raakt (bijvoorbeeld processen binnen Sociale Zaken of Burgerzaken)
  • het hoge herstelkosten met zich meebrengt (bijvoorbeeld processen binnen Openbare orde en veiligheid)
  • het hoge integriteit vereist (bijvoorbeeld processen binnen Sociale Zaken en Gezondheidszorg)
  • het om verwerking van vertrouwelijke informatie (zoals persoonsgegevens) gaat in het kader van privacy (bijvoorbeeld processen binnen Burgerzaken/BRP)
  • het een afbreukrisico heeft, dan wel tot reputatieschade leidt (bijvoorbeeld processen binnen de BRP)

Bij een BIA wordt er samen met de verantwoordelijken binnen je gemeente gekeken naar wat de mogelijke impact en schade is bij het uitvallen van een dergelijk proces en wordt inzichtelijk gemaakt wat de gemeente minimaal moet doen om na een incident haar bedrijfsactiviteiten te kunnen voortzetten.

Bedrijfsimpactanalyse (BIA); linksom of rechtsom?

Door middel van een BIA kun je als gemeente per kritisch bedrijfsproces de maximale uitvalsduur, ofwel Recovery Time Objective (RTO), van een proces vaststellen. Bij de gebruikelijke aanpak gaat dit als volgt:

  1. Op basis van de RTO’s wordt een strategie opgesteld
  2. Deze strategie geeft aan welke maatregelen nodig zijn om de bedrijfsprocessen weer te herstellen
  3. Om de strategie uit te voeren zijn vaak aanvullende aanpassingen/investeringen nodig
  4. Nadat de maatregelen zijn uitgevoerd, kan er getest en geoefend worden
  5. Waarna er tot slot een evaluatie plaatsvindt van de uitkomsten

Helaas zijn desinvesteringen bij deze aanpak niet uitgesloten. Deze worden vaak veroorzaakt doordat de BIA veel tijd en inzet vraagt en daardoor vaak worden uitgevoegd door functionarissen uit het middenmanagement van de gemeente. Bedrijfscontinuïteit is echter een strategische aangelegenheid, waarvoor het noodzakelijk is dat het (top)management de strategische keuzes maakt. Hierdoor kan het zijn dat de vastgestelde RTO’s moeten worden bijgesteld aan de hand van de uitkomsten van de testen.

Omgekeerde BIA

Maar moeten we de BIA nog wel volgens de gebruikelijke aanpak willen uitvoeren? Of kan dit ook pragmatischer? De Informatiebeveiligingsdienst voor gemeenten (IBD ) heeft onlangs de ‘omgekeerde Bedrijfsimpactanalyse (BIA)’ geïntroduceerd, tijdens de regiobijeenkomsten over BCM en in hun nieuwe BIG-OP producten. In deze aanpak wordt een andere volgorde aangehouden. Er wordt namelijk eerst gekeken naar welke calamiteiten er kunnen plaatsvinden en hoe je als organisatie op dat moment de situatie aanpakt. Vervolgens worden de BCM-documenten hiervoor opgesteld, vinden er testen plaats en worden tenslotte de resultaten geëvalueerd. Pas daarna worden er eventueel maatregelen doorgevoerd. Er zijn op dat moment dus nog geen grote investeringen of aanpassingen gedaan en de kans op desinvesteringen is daardoor ook kleiner. Bijkomend positief effect is dat het management deze werkwijze zelf bedenkt en beoordeelt.

BCM; gaat dit de CISO-pet te boven?

Maar wie z’n taak is het eigenlijk binnen een gemeente om BCM op te starten? De CISO, het management of iemand anders? Oorspronkelijk hadden gemeenten een calamiteitenplan, hierin stond slechts beschreven hoe een ICT-incident aangepakt moest worden. De rest was onderdeel van het Bedrijfshulpverleningsplan (BHV-plan). Tegenwoordig worden, mede door de digitalisering, alle potentiële incidenten die kunnen plaatsvinden binnen een gemeente in één plan verwerkt. Hiervan dient het overgrote deel van de incidenten bij de CISO te worden gemeld. Immers, niet alleen bij digitale calamiteiten, zoals een hack, kan de informatieveiligheid in gevaar komen. Juist ook incidenten zoals brand en overstromingen kunnen de informatieveiligheid binnen een gemeente verstoren. De CISO heeft dus veel te maken met BCM.

Bedrijfscontinuïteit is echter ook een strategische aangelegenheid, waarbij het noodzakelijk is dat het management de strategische keuzes maakt. De ‘omgekeerde’ BIA vraagt een grotere investering van het management dan de gebruikelijke aanpak, maar kan op die manier wel tijd en desinvesteringen besparen. Dan lijkt het verstandiger om de RTO doormiddel van de omgekeerde BIA vast te stellen, toch?

Ben jij in jouw gemeente al bezig met BCM? Zo ja, wie nam daarin het initiatief?

Renco Schoemaker
Laatste berichten van Renco Schoemaker (alles zien)

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

BIO voor applicatiebeheerders

Om een in-house cursus in te plannen, neem contact met ons op!

Meer blogs lezen

Wat zijn mijn plichten als verwerkingsverantwoordelijke?

Als gemeente ben je in veel gevallen verwerkingsverantwoordelijke voor de persoonsgegevens die je verwerkt. Wanneer je verwerkersverantwoordelijke bent, horen hier een aantal plichten bij. Welke dit zijn, lees je in deze blog.

Wachtwoorden beheren? Gebruik een wachtwoordmanager!

De BIO schrijft voor dat gemeenten een wachtwoordmanager beschikbaar moeten stellen aan hun medewerkers. Maar wat is een wachtwoordmanager nu precies? Wat zijn de voordelen? En hoe veilig zijn ze? Je leest het in deze blog!

Rechten van betrokkenen binnen een gemeentelijke context

Als burger heb je verschillende rechten om controle te houden over je persoonsgegevens – ook wel rechten van betrokkenen genoemd. Maar met welke rechten krijg je als gemeente in de praktijk echt te maken?

CISO versus ISO, wie doet wat?

Binnen de gemeente hebben we de (verplichte) CISO en/of ISO. Maar welke taken horen er nu eigenlijk bij de CISO te liggen en wat zou de ISO moeten doen? Kortom, hoe verhouden deze functies zich tot elkaar en wat zijn de verschillen?

Help! Een dataclassificatie, DPIA en een BIA?!

Vanuit de AVG en BIO zijn er diverse (verplichte) maatregelen waarmee je als gemeente in kaart brengt wat je relevante systemen zijn en/of data is en waar de risico’s liggen met betrekking tot het gebruik ervan, zoals een dataclassificatie, DPIA e…

Verantwoordelijkheden van de proceseigenaar binnen de BIO

Informatiebeveiliging is binnen de BIO een verantwoordelijkheid van de proceseigenaar. Maar waar ben je dan precies verantwoordelijk voor en wat houdt die verantwoordelijkheid in